Et si vous avez une clé? S'il vous a donné la clé avec l'autorisation d'entrer (pour nourrir son chien pendant son absence), alors vous avez l'autorisation d'entrer. Pas d'intrusion là-bas.

En revanche, si vous trouvez la clé sous son paillasson, cela n'implique pas une autorisation , même si cela vous donne accès . Vous pouvez entrer assez facilement, mais c'est une intrusion.

Maintenant, disons que vous faites du porte-à-porte pour voir si quelqu'un a laissé une clé sous son paillasson. Vous entrez simplement dans les maisons vulnérables et regardez autour de vous; vous ne volez rien, vous ne faites que chercher. C'est ce qui se passe ici avec le problème Heartbleed. Quelqu'un utilise sa connaissance d'une vulnérabilité (par exemple, une clé apparaît parfois sous le paillasson) pour y accéder, mais il n'est pas autorisé à y avoir accès.

Oui, les clés qu'ils récupèrent sont accessibles à toute personne qui comprend la vulnérabilité, tout comme une clé sous un paillasson est également techniquement accessible au public. Mais cela ne rend pas son utilisation légale.

Premièrement, il faut répondre à cette question dans un contexte spécifique au pays, car chaque pays a ses propres lois et réglementations concernant les crimes informatiques, les intrusions, la manipulation de données, etc.

Une chose importante à considérer également est que les personnes qui jugeront ces affaires ne sont pas des personnes ayant des connaissances techniques. Ils n'ont généralement aucune idée claire de ce qu'est une base de données, de ce qu'est un datagramme UDP ou même parfois de ce qu'est Google. Donc, même si un expert informatique est entendu par le tribunal, la décision sera principalement basée sur le bon sens.

Je ne suis pas un spécialiste du droit canadien, mais voici ce que je pense:

• L'envoi d'un seul paquet avec la connaissance préalable qu'il peut / va modifier les données stockées sur un serveur peut être considéré comme un crime dans certains pays, peu importe pourquoi cela a été fait (par exemple un chercheur essayant de reproduire un bogue) et ce que le l'impact est à la fin;
• La frontière entre le piratage illégal et la simple utilisation d'informations qui sont visibles publiquement est généralement considérée de cette manière par les autorités (par exemple un procureur ou un juge): information publique et visible volontairement? Ou est-ce que "l'attaquant" a utilisé une astuce pour y accéder? À la fin, cela revient à l'intention de l'utilisateur d'accéder aux informations.
• Peu importe si les données divulguées contiennent des bits aléatoires inutiles ou des informations sensibles explicites, l'accès a toujours été effectué sans autorisation appropriée. Bien sûr, le niveau de sensibilité sera probablement considéré comme un facteur aggravant.

Un exemple concret de cette situation est la condamnation récente en France d'un internaute qui a trouvé via Google des informations d'entreprise qui n'étaient pas censées s'y trouver (elles ont été indexées par le moteur de recherche en raison d'une erreur de l'entreprise). Même si l'intégrité ou la disponibilité des données n'était pas menacée et qu'il n'y avait pas d'intrusion réelle, cet internaute a été condamné pour " accès non autorisé à un système d'information " et " vol de données ". Une explication juridique très détaillée est disponible ici (en français).

À la fin, les autorités ont tenu compte de deux éléments principaux:

• Indépendamment de la manière dont l'accès a été effectué, les données n'étaient pas censées être publiques , point final. Et dans le cas du bug Heartbleed, personne ne peut sérieusement prétendre que les données en texte clair utilisées par un programme chargé de chiffrer les communications Internet étaient censées être accessibles au public.
• L'utilisateur n'a pas accédé au données par accident , mais à la place en utilisant des méthodes techniques dont un utilisateur ordinaire n'aurait pas été capable. Cela inclut le piratage de Google, la création de datagrammes UDP, etc.

Donc, pour répondre à votre question, la ligne entre le piratage illégal et l'accès autorisé est essentiellement: l'organisation concernée vous a-t-elle mandaté ou autorisé à accéder l'une de ses données (par exemple via un programme Bug Bounty ou un service de test d'intrusion)?

Ce que je ne sais pas, c'est où se situe la limite entre le piratage illégal et la simple utilisation d'informations visibles publiquement?

La question est de savoir si ces informations sont considérées comme publiques, même s'il est visible publiquement. Dans ce cas particulier, il est clair à 100% que ce n'est pas le cas. Même lorsqu'un administrateur de serveur laisse ce bogue sans correction, cela ne signifie pas que vous êtes libre de l'utiliser.

D'un point de vue purement technique, on pourrait dire que toute donnée accessible d'une manière ou d'une autre est publique, car la technologie ne fait aucune différence entre les fonctionnalités et les bogues. Mais les lois sont rarement aussi techniques.

La législation sur ce qui est le piratage illégal et ce qui ne l'est pas varie beaucoup dans le monde. Je ne suis pas avocat, mais pour autant que je sache, de nombreuses législations considèrent que les données sont privées lorsque le propriétaire du système a pris des mesures pour empêcher l'accès du public. Si ces étapes s'avèrent insuffisantes en raison d'un bogue logiciel, y accéder est toujours illégal lorsque la personne qui y accède n'a aucune raison de croire que les données sont censées être publiques.

Quand quelqu'un écrit sur leur page d'accueil "J'ai mis en place une base de données MySQL publique pour que tout le monde puisse expérimenter, le nom d'utilisateur est user et le mot de passe est pass " , il est raisonnable de supposons que toute information contenue dans cette base de données est publique. Lorsque vous devez exploiter une vulnérabilité de sécurité dans un logiciel qu'ils utilisent pour obtenir les informations de connexion, il est raisonnable de supposer que ces informations ne sont pas destinées à être publiques.

Dans le cas de Heartbleed, il ne faut pas oublier qu'une entreprise / un administrateur système a pris les mesures proactives pour protéger les données. Ils ont utilisé OpenSSL pour sécuriser un portail Web. Le fait qu'il y ait un bogue qui n'a pas été découvert n'était pas la faute de l'entreprise. Ils ont tenté de protéger les données. Tout tribunal / jury, utilisant le bon sens, trouverait pour l'entreprise, pas la personne qui a obtenu les données via l'exploit.

Pour modifier l'analogie donnée ci-dessus: L'analogie d'une porte laissée ouverte permettant l'accès non assimiler l'autorisation d'entrer, ainsi que l'analogie de la clé laissée sous le tapis permettant l'accès, mais pas l'autorisation, sont toutes deux fausses, dans ce cas.

J'ai la porte de ma maison verrouillée. La serrure que j'utilise est une serrure à combinaison. J'ai mis le numéro à 4 chiffres et sécurisé la serrure. Je suis le seul à connaître cette combinaison, et le fabricant de serrures dit que personne d'autre ne peut connaître cette combinaison, sans poinçonner minutieusement chaque séquence de 4 chiffres possible. Ma maison est maintenant en sécurité.

Malheureusement, à mon insu (et même pas découvert par le fabricant de la serrure), la façade est amovible ce qui révèle mes numéros.

Un voleur arrive et enlève le couvercle, récupère mon code et le remet. Maintenant, ce voleur a la possibilité d'entrer dans ma maison à volonté. Même si je change mon code (SSL Cert), peu importe, le voleur a toujours la possibilité de déterminer mon nouveau code.

Vous entendez parler du fait que la façade est amovible et vient à mon maison pour le vérifier. Vous découvrez cela, pourquoi OUI, c'est le cas, et découvrez mon code. Vous y entrez, déverrouillez ma porte d'entrée et entrez. Vous ne prenez rien. (Au moins aux États-Unis) vous avez maintenant commis une introduction par effraction, mais pas un vol. N'importe quel jury aux États-Unis vous condamnerait, car j'ai fait de mon mieux pour protéger mes affaires, mais grâce à un exploit inconnu de moi, vous avez pu entrer.

L'utilisation non autorisée du meilleur analogique d'un ordinateur en termes réels est une intrusion. Bien qu'un serveur Web soit publiquement connecté à Internet, techniquement, il s'agit d'une propriété privée. Quelqu'un possède ce serveur, le logiciel et les données qu'il contient. Ils doivent avoir des conditions d'utilisation du site qui indiquent l'utilisation autorisée de leur serveur. Si vous dérogez à ces conditions d'utilisation, vous enfreignez effectivement leur système et vous pourriez être pénalement responsable d'une utilisation abusive.

Je ne suis pas un avocat et je pense qu'il doit y avoir une intention d'abuser, juste comme s'il ne serait pas possible de faire une réclamation d'intrusion si quelqu'un ne savait pas qu'il se trouvait sur une propriété privée. Ainsi, c'est quelque peu ambigu, mais oui, généralement exploiter sciemment un bogue est contraire aux conditions de service et est donc illégal en soi. De plus, une fois que vous avez capturé les informations d'identification de quelqu'un d'autre et que vous les utilisez, c'est clairement illégal car vous accédez maintenant au compte de quelqu'un d'autre, ce qui est pratiquement toujours contraire aux conditions de service et montre clairement l'intention de "pénétrer" dans le système.

Je ne suis pas aussi familier avec le «méfait par rapport aux données» mais je suppose que cela a à voir avec le fait qu'ils ont accédé aux données privées de quelqu'un d'autre en s'introduisant dans le système. C'est une supposition car je ne suis pas aussi familier avec celui-là.

Avec la sécurité de l'information, des analogies avec la sécurité du monde physique sont souvent faites. Par exemple, un bâtiment est sécurisé par une porte verrouillée, autour de celle-ci, une clôture avec une porte et un gardien de sécurité, etc.

Toute violation des couches de sécurité d'un bâtiment constituerait une infraction pénale la plupart (toutes?) législations. Je parie que cela s'appelle surtout introduction par effraction .

Je suppose que la législation canadienne est basée sur cette analogie. Il semble logique que le fait de fouiner un serveur en exploitant le bogue Heartbleed dépend de la législation du pays. Je suppose soit le pays dans lequel se trouve le serveur, soit le pays dans lequel le propriétaire du serveur a son siège.

Et le nom de l'infraction suggère que pour "l'utilisation non autorisée d'un ordinateur", il est important que l'autorisation ait été donnée.

Il est présumé que l'autorisation est donnée, par exemple, pour visiter un site Web à l'aide d'un navigateur . Vous n'avez pas besoin de l'avoir par écrit. Il n'est pas présumé que la permission est donnée d'utiliser une fonction non intentionnelle telle que le défaut de saignement de cœur. Alors oui, il pourrait être considéré comme criminel d'exploiter une faille sur un serveur Web à l'insu du propriétaire du serveur. Peu importe ce que vous faites (le cas échéant) des informations récupérées.

Cela signifie que dans certaines circonstances, l'utilisation d'un site Web en violation de ses T&Cs pourrait être considéré comme criminel. Autant que je sache, il n'y a pas encore beaucoup de cas de test, et je soupçonne que cela va varier considérablement selon la juridiction, ce qui est considéré comme "utiliser" un ordinateur, ce qui est considéré comme "non autorisé" et dans quelle mesure le Les utilisateurs de sites / serveurs doivent comprendre ce qui est autorisé et ce qui ne l'est pas. La question de savoir si les chercheurs en sécurité bénéficient d'une protection juridique et, dans l'affirmative, dans quelle mesure cela va probablement varier.

Je ne peux pas vous donner de conseils juridiques bien sûr, mais mon observation est que très peu de chercheurs en sécurité sont poursuivis lorsque ils testent ou recherchent les failles sans autorisation explicite. Je ne suis pas du tout sûr que ce soit parce que ce qu'ils font est légal par la loi, ou simplement que personne n'a intérêt à les poursuivre.

Il y a un cas entre Craigslist et 3Taps (aux États-Unis , pas le Canada) dans lequel il n'y a même pas d'exploit d'une faille. Craigslist a été jugé avoir correctement refusé à 3Taps l'autorisation de visiter le site dans le but de le gratter, mais AFAIK n'a pas encore décidé si les actions de 3Taps étaient illégales en vertu de la loi sur la fraude et les abus informatiques.

La ligne de séparation n'est pas une ligne. Il est flou et décidé non seulement par la logique mais par la persuasion. Persuasion d'un jury par un procureur.

Ce qui est légal ou illégal n'est pas décidé par ceux d'entre nous qui travaillent avec la technologie. Il est d'abord décidé par quelques experts, puis béni par le gouvernement comme une loi, puis interprété par des juges, des avocats et quelques personnes «chanceuses» sur les jurys.

Législation, common law sur le vol, combinée avec le les juges et les jurys du système judiciaire rendent les intrusions informatiques illégales.

En supposant qu'un procureur puisse prouver les faits de qui, quoi, où, quand, comment au jury grâce à des fichiers journaux et à un expert, quelle défense Exploiteur de bogues?

Aux USA, il y a le concept de Mens Rea, ie. avoir un esprit coupable. Les fous peuvent être déclarés non coupables parce qu'ils ne savent vraiment pas le bien du mal, mais cela ne fait que déplacer le lieu de l'emprisonnement vers un établissement psychiatrique.

Mais si quelqu'un exploite un bogue pour le gain et celui d'une autre personne au détriment, je pense qu'en tant que juré, il serait difficile de me convaincre que la personne ne savait pas que c'était mal. S'il est prouvé qu'ils l'ont fait et qu'ils savaient ou auraient dû savoir que c'était faux, cela suffit pour un vote coupable pour que je puisse reprendre vie et cesser d'être juré.

Si je comprends bien, il y a trois éléments du crime.

1. Vous avez obtenu des informations "non autorisées".
2. Vous avez obtenu ces informations en utilisant des procédures de "navigation" qui sont intrusifs.
3. Vous n’étiez pas autorisé à pénétrer dans des zones privées, à franchir une barrière, etc. p> Donc, si les informations non autorisées ont été mal publiées sur la page d'accueil et que vous les lisez, ce serait leur problème, pas le vôtre. Si vous "pénétriez" par effraction dans le système et que vous lisiez quelque chose de non autorisé, ce serait un crime.

   Imaginez une maison entourée d'une clôture. Si vous voyiez quelque chose de "non autorisé" en regardant à travers, autour ou au-dessus de la clôture, ce ne serait pas illégal. Si vous avez escaladé la clôture (sans autorisation) et que vous avez "vu quelque chose" en conséquence, ce serait illégal. Si vous avez escaladé la clôture parce que le propriétaire vous a embauché pour la nettoyer et que vous avez vu quelque chose, ce ne serait pas illégal.

Pour obtenir des conseils juridiques, consultez un avocat agréé.

Q: Est-il illégal d'envoyer une demande de pulsation à un serveur sachant que la demande entraînera une fuite de données?

R: Bien sûr. Rechercher [cfaa]. La meilleure question est la suivante: êtes-vous susceptible d'être poursuivi et incarcéré dans une prison fédérale? Si le serveur est au Pentagone, très probablement.

Q: Si ces données ne contenaient que des bits aléatoires, seraient-elles toujours illégales ou doivent-elles contenir des données sensibles pour devenir illégales?

R: Théoriquement, si les données et la valeur de l'utilisation de l'ordinateur sont inférieures à un certain seuil, vous ne serez pas soumis à des lois sévères sur la criminalité informatique telles que la CFAA. Voulez-vous parier les prochaines années de votre vie sur votre interprétation de la loi par rapport à celle des autorités? Et pensez-vous qu'ils croiraient votre affirmation selon laquelle les données sont des "bits aléatoires"? Et si le procureur prétend qu'il s'agit de codes cryptés contre la bombe nucléaire? Selon vous, qui le juge et le jury non techniques croiraient?

Q: Disons que des mots de passe ou d'autres informations similaires étaient présents, est-ce que cela devient alors illégal de l'avoir fait? Ou est-il devenu illégal de prendre ces informations d'identification et de se connecter à une interface d'administration publique de la base de données?

R: Continuez à lire le CFAA.

Q: Ce que je suis Vous ne savez pas où se situe la limite entre le piratage illégal et la simple utilisation d'informations qui sont publiquement visibles? Si un site Web laisse ses identifiants DB sur sa page d'accueil avec un lien vers une interface phpMyAdmin vers cette base de données, est-il illégal de se connecter et de regarder autour de lui?

R: Peut-être. Vous pourriez payer 25 000 $ à un avocat pour faire valoir que le fait de laisser les informations d'identification du DB visibles constitue un consentement et que vous êtes donc innocent. Si vous n'avez pas 25 000 $, vous risquez de devoir plaider coupable.

Q: Au risque de poser des questions multiples et générales qui conduiront à la clôture de cette question, existe-t-il des règles empiriques pour respecter quand curieusement fouiner pour voir comment quelque chose fonctionne franchit la ligne pour devenir illégal?

R: Encore une fois, supposer que votre "règle de base" est la même que celle des autorités peut être un jeu risqué.

Historiquement, il devait y avoir une intention criminelle pour que quelque chose soit un crime.

De nos jours, depuis l'incrémentation de un dans un script contre un serveur Web public et la journalisation de la sortie peut vous conduire en prison, à peu près tout peut être illégal s'il implique un ordinateur et que vous avez ennuyé quelqu'un.

Je connais des gens qui mettent Burp (par exemple) en ligne et vaquent à leur navigation habituelle. Ils trouvent plus de bogues que vous ne le pensez de cette façon et, comme je l'ai mentionné que tout ce qui concerne un ordinateur peut être illégal, je ne recommanderais pas de parler aux gens des bogues que vous voyez ici si vous n'êtes pas sûr à 100% de la façon dont vos informations vont être reçu.

Personnellement, je ne fais aucune manipulation et découverte de quoi que ce soit sans un accord contractuel pour le travail en place et je recommanderais à tous les lecteurs de faire de même.

Donc, si vous ne pouvez pas divulguer aux propriétaires du bogue sans être envoyé à un goulag, et vous ne pouvez pas vendre le bogue de manière éthique à une maison d'exploitation, ni le publier sur un forum de divulgation complète, que pouvez-vous faire exactement?

Bienvenue dans l'état de l'industrie. La légalité est aux yeux de ceux qui ont un agenda politique.

Premièrement, l'exploitation de quoi que ce soit est généralement contraire aux conditions de serveur d'un site, si ce n'est pas le cas, il serait illégal d'utiliser ces connaissances pour exploiter tout autre serveur à moins qu'ils ne le permettent explicitement.